《資訊教學分享》用DOS命令檢查特洛伊木馬

蔡逸竹

孤獨者 - 心在黑暗裡旅行 ...... ...

至尊會員

Rank: 7 Rank: 7 Rank: 7 Rank: 7 Rank: 7 Rank: 7 Rank: 7

遊蕩的過客 - 枉入紅塵若許年 .. ...

UID: 18273
帖子: 12122
精華: 1273
積分: 240737
金幣: 492641
威望: 5001
推廣: 0
閱讀權限: 99
來自: 尋覓中
註冊時間: 2006-6-24
最後登錄: 2015-5-27

總版主典獄長榮譽勳章陽光會員宣傳大使榮退獎章糾察隊長鍾愛一生勳章大學博士勳章守護天使勳章忠誠勳章高級糾察社區建設獎章社區巡守獎章社界宗師勳章資源專家勳章傳學大師勳章文壇大家勳章點評專家勳章終身成就獎章熱心助人獎章最佳分享獎章

發短消息
加為好友
當前離線

1樓大中小發表於 2006-10-10 22:35

《資訊教學分享》用DOS命令檢查特洛伊木馬

隨著計算機網絡的愈發普及，網絡安全問題尤為引人關注，特洛伊木馬就是大家揮之不去的痛。怎樣才能阻止木馬的進出呢？利用殺毒防黑軟件固然可以做到。但是在沒有這些軟件的情況系下，該怎麼辦呢？下面筆者就給大家介紹一招：利用Windows自帶的netstat命令來控制木馬的進出。

　　正所謂「磨刀不誤砍材功」。首先，我先為大家介紹介紹Windows自帶的網絡命令—
—netstat。netstat命令運行在DOS窗口或命令行下，可以使用戶瞭解到自己的主機是怎樣與Internet相連接的，這有助於用戶瞭解網絡的整體使用情況。它可以顯示當前正在活動的網絡連接的詳細信息，如網絡連接、路由表和網絡接口等信息，也可以讓用戶得知目前總共有哪些網絡連接正在運行。

　　netstat命令格式如下：

　　netstat [-r] [-s] [-n] [-a]。當然，你也可以利用「netstat /?」命令來查看一下該命令的使用格式以及詳細的參數說明。

netstat參數含義如下：

　　-r 顯示本機路由表的內容；

　　-s 顯示每個協議的使用狀態(包括TCP協議、UDP協議、IP協議)；

　　-n 以數字表格形式顯示地址和端口；

　　-a 顯示所有主機的端口號。

　　例如：運行Netstat -a命令將顯示計算機上網時與外部之間的所有連接，計算機端口與外部的連接情況等；而Netstat -s命令則顯示電腦網絡連接協議的統計信息。這樣你就可以看到當前你的電腦上網絡在進行哪些連接，數據包發送和接收的詳細情況等等。下面是Netstat -s的輸出情況，如圖所示。

介紹了netstat命令之後，在讓我們來瞭解一下特洛伊木馬的基礎知識。特洛伊木馬(以下簡稱木馬)，英文叫做「Trojan house」，其名稱取自希臘神話的特洛伊木馬記，它是一種基於遠程控制的黑客工具，具有隱蔽性和非授權性的特點。所謂隱蔽性是指木馬的設計者為了防止木馬被發現，會採用多種手段隱藏木馬，這樣服務端即使發現感染了木馬，由於不能確定其具體位置，往往只能望「馬」興歎；所謂非授權性是指一旦控制端與服務端連接後，控制端將享有服務端的大部分操作權限，包括修改文件，修改註冊表，控制鼠標，鍵盤等等，而這些權力並不是服務端賦予的，而是通過木馬程序竊取的。

　　從木馬的發展來看，基本上可以分為兩個階段，最初網絡還處於以UNIX平台為主的時期，木馬就產生了，當時的木馬程序的功能相對簡單，往往是將一段程序嵌入到系統文件中，用跳轉指令來執行一些木馬的功能，在這個時期木馬的設計者和使用者大都是些技術人員，必須具備相當的網絡和編程知識。而後隨著WINDOWS平台的日益普及，一些基於圖形操作的木馬程序出現了，用戶界面的改善，使使用者不用懂太多的專業知識就可以熟練的操作木馬，相對的木馬入侵事件也頻繁出現，而且由於這個時期木馬的功能已日趨完善，因此對服務端的破壞也更大了。可以所木馬發展到今天，已經無所不用其極，一旦被木馬控制，你的電腦將毫無秘密可言。害怕了吧？沒有關係，下面就讓我們利用Windows自帶的網絡命令——netstat命令來控制木馬的進出。

　　如果你感覺你的機器突然間變的很慢，而且還經常有異常情況的發生，諸如鼠標不聽使喚啊，無故自動關機，自動重啟之類的現象，那麼你的計算機八成成為別人的養馬場了，怎麼辦？不用急。在「開始」中選擇「運行」之後輸入「command」然後輸入「netstat　-a」命令，如圖所示(圖3)。果然不出所料。看見了嗎？觸目驚心的7626赫然屏幕之上，多麼讓人害怕啊，要知道，著可是赫赫有名的冰河默認所開設的端口號啊，怎麼辦？呵呵，下面的工作不用我說了吧，當然是幹掉它了，難道讓它禍害你不成？你可以利用殺毒軟件來查殺。